[译] 微分段安全技术解析:云原生环境下的零信任实践

深入探索微分段技术在云原生架构中的应用,如何通过零信任框架增强数据安全与合规性。

声明
此文为个人翻译,仅供参考,不代表我个人立场。翻译过程中可能有删改或遗漏,如需了解原文,请自行查阅。如有疏漏,欢迎指正。
查看本文大纲

什么是微分段?

微分段(Microsegmentation)是一种网络安全管理方法,它通过将网络划分为多个小段,并根据各段的安全需求应用安全控制,从而管理工作负载间的网络访问权限。这种方法结合了最小权限原则零信任架构,让管理员可以精确管理安全策略,限制流量,有效减少攻击面,加强数据泄露的防护,并增强合规性。

微分段的工作原理

微分段通过网络虚拟化技术,在云部署中创建安全区域,这些小的安全区可以隔离工作负载,并为每个工作负载定制安全策略。这种粒度级的安全控制对于运行多个应用的现代云环境至关重要。企业可以为每个工作负载和应用程序单独应用安全控制,而不是采用针对服务器的统一安全策略。

image
图 1: 微分段通过零信任框架限制流量,将网络划分为多个小段。

工作负载的定义

工作负载广泛地定义为运行应用程序所需的资源和过程。主机、虚拟机和容器是几种常见的工作负载形式。公司可以在数据中心、混合云和多云环境中运行工作负载,而随着应用程序越来越多地部署在不同的云原生计算架构上,这种分布式趋势根据业务需求不断加速。

超越边界安全

边界安全是大多数组织网络安全控制的重要部分。网络安全设备,如网络防火墙,会检查穿越安全边界的“南北”(客户端到服务器)流量,并阻止恶意流量。边界内的资产被隐含信任,意味着“东西”(工作负载间)的流量可能未经检查。

image
图 2: “南北”与“东西”流量示意图

对于大多数组织来说,东西向通信占据了数据中心和云流量模式的大部分,而基于边界的防御对东西向流量缺乏可见性。考虑到这些因素,恶意行为者可能利用这一点,在工作负载间横向移动。

网络在工作负载间创建可靠的路径,并决定两个端点是否可以相互访问。微分段则通过创建隔离来决定两个端点是否应该相互访问。通过最小权限访问的强制实施,微分段减少了横向移动的范围,并包含数据泄露。

image
图 3: 微分段可以帮助你隔离攻击。

网络分段的挑战

网络分段是一种将网络划分为多个小的子网的方法,这不仅有助于提升性能,还能增强安全:

  • 性能: 将网络划分为较小的子网和 VLAN 可以减少广播数据包的范围,从而提高网络性能。
  • 安全: 网络安全团队可以将访问控制列表(ACL)应用于 VLAN 和子网,隔离不同网络段上的机器。如果发生数据泄露,ACL 可以防止威胁扩散到其他网络段。

利用网络分段进行安全管理存在挑战。分段需求并不总是与网络架构相匹配。重新架构网络或重新配置 VLAN 和子网以满足分段要求既困难又耗时。

image
网络分段 - 使用 VLAN 和子网 - 是通过打破网络广播域来提供最佳网络性能的一种方法
图 4: 网络分段 - 使用 VLAN 和子网 - 是通过打破网络广播域来提供最佳网络性能的一种方法。

微分段的工作方式

微分段,也被称为零信任或基于身份的分段,不需要重新架构就可以满足分段要求。安全团队可以在网络中隔离工作负载,限制恶意横向移动的影响。微分段控制可以分为三类:

  • 基于代理的解决方案在工作负载上使用软件代理,并实施粒度隔离至单个主机和容器。基于代理的解决方案可能利用内置的基于主机的防火墙,或根据工作负载的身份或属性实现隔离能力。
  • 基于网络的分段控制依赖于网络基础设施。这种方式利用物理和虚拟设备,如负载均衡器、交换机、软件定义网络(SDN)和覆盖网络来执行策略。
  • 云原生控制利用嵌入在云服务提供商中的功能(例如,Amazon 安全组、Azure 防火墙或 Google Cloud 防火墙)。

微分段通过三个关键原则提供一致的安全性:可见性、粒度安全和动态适应。

一个微分段解决方案应该提供对所有网络流量的可见性,无论是在数据中心内部还是跨云流量。虽然监控流量的方式有很多,但最有效的方法是能够看到与工作负载上下文(例如,云、应用、编排器)相关联的流量,而不仅仅是包含 IP 地址和端口的日志。

粒度安全意味着网络管理员可以通过为关键应用程序创建特定策略来加强和精确安全。其目标是通过精确控制特定工作负载的进出流量(例如,每周的工资运行或人力资源数据库的更新),防止威胁的横向移动。

微分段为动态环境提供保护。例如,云原生架构如容器和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达。应用或基础设施的更改会触发安全策略的实时自动修订,无需人工干预。

微分段的类型

微分段为动态环境提供保护。例如,云原生架构如容器和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使得基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达。应用或基础设施的变化会触发安全策略的实时自动修订,无需人工干预。

容器分段

容器分段涉及将容器从彼此及宿主系统隔离开来,以提高安全性并减少攻击面。容器化是一种广泛使用的技术,允许在单个宿主系统上的不同容器中运行多个应用程序或服务。如果没有适当的分段,容器可能会访问彼此的数据和配置文件,这可能导致安全漏洞。

容器分段的最佳实践

  • 容器隔离: 每个容器应从运行在同一宿主系统上的其他容器中隔离开来,以防止未授权访问。这可以通过使用 Docker 和 Kubernetes 等提供内置隔离机制的容器技术来实现。

  • 网络分段: 可以使用网络分段技术将容器彼此分开。这涉及为每个容器创建独立的网络,并配置防火墙规则以允许或拒绝容器之间的流量。

  • 基于角色的访问控制: 可以使用基于角色的访问控制(RBAC)定义不同容器的访问策略,根据用户角色和权限进行管理。这有助于确保容器只被授权的用户和过程访问。

  • 镜像签名: 容器镜像可以进行数字签名,以确保只有经过验证的镜像才能在生产环境中部署。这有助于防止容器镜像被篡改或修改,从而减少安全漏洞的风险。

  • 运行时保护: 运行时保护工具可以用来监控容器活动并检测可能表明安全漏洞的异常行为。这些工具有助于实时检测和防止攻击,提高容器化环境的安全态势。

容器分段有助于确保容器化应用程序和服务的安全。通过隔离容器并应用访问控制策略,组织可以减少攻击面,并防止未授权访问敏感数据和资源。容器分段应作为整体安全策略的一部分实施,包括网络安全、访问控制和运行时保护。

云安全中的用户分段

云安全中的用户分段涉及根据组织内不同角色和职责划分用户访问权限,以确保用户只能访问其工作功能所需的资源。用户分段通过限制敏感数据和资源的暴露范围,仅限于授权用户,从而减少攻击面。

由于云环境的动态性和快速变化,用户分段是全面云安全策略的关键组成部分。以下是云安全中用户分段的一些关键考虑因素:

  • 基于角色的访问控制(RBAC): RBAC 涉及创建和定义角色的权限,然后根据工作职能将用户分配到适当的角色。这种方法确保用户只能访问其工作功能所需的资源,减少意外或故意数据泄露的风险。
  • 多因素认证(MFA): MFA 要求用户提供多种形式的认证才能访问资源。这可能包括密码、安全令牌或生物识别数据。MFA 是一种有效的方法,特别是与 RBAC 结合使用时,可以防止未授权访问云资源。
  • 持续监控: 持续监控用户活动对于实时检测和响应安全事件至关重要。这涉及分析日志数据和用户行为,以识别威胁和漏洞。
  • 职责分离: 职责分离涉及在多个用户之间划分责任,以防止任何单一用户对系统或过程拥有过多控制权。这有助于降低欺诈或错误的风险,并确保敏感操作由多个用户执行。
  • 定期访问审查: 定期访问审查涉及定期审查用户访问权限和权限,以确保它们仍然是必需的。访问审查有助于识别和移除不必要的访问权限,减少未授权访问的风险。

通过实施 RBAC、MFA、持续监控、职责分离和定期访问审查,组织可以增强其云安全态势,保护免受不断变化的威胁影响。

微分段的益处

采用微分段的组织能够实现具体的益处,具体包括:

  • 减少攻击面:微分段提供了对完整网络环境的可见性,不会延缓开发或创新的速度。应用开发人员可以在开发周期早期集成安全策略定义,确保应用部署或更新不会产生新的攻击向量。这在快速发展的 DevOps 世界中尤为重要。
  • 改善数据泄露的防护:微分段使安全团队能够根据预定义的策略监控网络流量,同时缩短对数据泄露的响应和修复时间。
  • 加强监管合规性:利用微分段,监管官员可以创建政策,将受监管系统从基础设施的其余部分隔离开来。精细控制与受监管系统的通信,降低非合规使用的风险。
  • 简化策略管理:转向微分段网络或零信任安全模型提供了简化策略管理的机会。一些微分段解决方案提供自动应用发现和基于学习的应用行为的策略建议。

微分段的应用案例

微分段的应用范围广泛且日益增长。以下是一些代表性的例子:

  • 开发与生产系统:在最佳情况下,组织会仔细区分开发和测试环境与生产系统。然而,这些措施可能无法阻止疏忽行为,如开发人员为测试目的从生产数据库取用客户信息。微分段可以通过精细地限制两个环境之间的连接来强制执行更严格的分离。
  • 保护软资产:公司有巨大的财务和声誉动机来保护“软”资产,如机密的客户和员工信息、知识产权和公司财务数据。微分段为防止数据外泄和其他恶意行为提供了额外的安全级别,这些行为可能导致停机并干扰业务运营。
  • 混合云管理:微分段可以为跨多个云的应用程序提供无缝的保护,并在由多个数据中心和云服务提供商组成的混合环境中实施统一的安全策略。
  • 事件响应:如前所述,微分段限制了威胁的横向移动和泄露的影响。此外,微分段解决方案提供的日志信息有助于事件响应团队更好地理解攻击策略,并通过遥测数据帮助确定特定应用程序的政策违规情况。

微分段常见问题解答

网络分段与微分段有何不同?

虽然网络分段和微分段都有助于提升网络安全和性能,但它们在基础上有所不同。传统的网络分段侧重于进出网络的南北流量,并使用 VLAN、防火墙、路由器等设备实施。这些设备可以配置来执行网络层面的安全策略,如访问控制列表(ACL)或防火墙规则。

另一方面,微分段侧重于东西流量,通常使用基于软件的安全解决方案实施,如基于虚拟机的防火墙或端点保护平台(EPP)。微分段在个别工作负载或应用层面而非网络层面应用安全策略。

什么是防火墙策略?

防火墙策略定义了组织的防火墙应如何处理针对某些 IP 地址和地址范围的进出网络流量。策略可能关注用户身份、网络活动和应用程序,以及 IP 地址。

什么是虚拟网络?

虚拟网络使用软件连接计算机、虚拟机(VM)和服务器或虚拟服务器,与传统的物理网络不同,后者通过硬件和电缆固定在特定位置。

什么是应用依赖?

应用依赖是指软件、应用程序、服务器和其他组件相互依赖以执行其功能的情况。为确保服务不间断,应在将组件迁移到云、移到新的云环境或实施微分段之前绘制应用依赖关系图。

最后更新于 2024/12/12